Käyttäjähallinnon kuvaus
Versio | Tekijä | Päiväys | Muutos |
---|---|---|---|
0.3 | Miina Lehto | 5.8.2011 | Luonnos Pauli Lehtosen aloittaman dokumentin pohjalta; päivitetty tiedot ajan tasalle, ja muokattu dokumentin ulkoasua. |
0.4 | Miina Lehto | 3.11.2011 | Päivitetään tietoja. |
0.5 | Miina Lehto | 30.11.2011 | Päivitetään tietoja. |
0.6 | Miina Lehto | 7.12.2011 | Tarkennus kohtaan 1.1.3 ja 2.1. |
0.7 | Miina Lehto | 18.1.2012 | Päivitetään attribuuttilistaa. |
0.8 | Miina Lehto | 31.1.2012 | Päivitetään attribuuttilistaa. |
0.9 | Miina Lehto | 21.2.2012 | Tarkennus kohtaan 1.2.3 ja päivitetään attribuuttilistaa. |
1.0 | Miina Lehto | 9.3.2012 | Päivitetään tiedot kohtaan 4.2. |
1.1 | Miina Lehto | 25.3.2013 | Päivitetään tiedot kohtaan 3.: luovutettavat attribuutit. |
1.2 | Miina Lehto | 19.4.2013 | Päivitetään tiedot kohtaan 3.: luovutettavat attribuutit. |
1.3 | Miina Lehto | 3.5.2013 | Päivitetään tiedot kohtaan 3.: luovutettavat attribuutit. |
1.4 | Miina Vina | 3.4.2014 | Päivitetään tiedot kohtaan 1.1.3.: opiskelijan tunnuksen lukitseminen ja poisto sekä kohtaan 4.1.: tunnusten roolikohtaisuus. |
1.5 | Miina Vina | 13.1.2015 | Päivitetään kohtaa 1.3. |
1.6 | Miina Vina | 5.5.2015 | Päivitetään attribuuttilistaa: givenName luovutetaan kaikilta. |
1.7 | Miina Vina | 1.8.2016 | Päivitetään attribuuttilistaa. |
1.8 | Miina Vina | 14.11.2017 | Eppn:n kierrätys, kohta 4.2. |
1.9 | Rantapere Joona | 12.3.2019 | Tietoja päivitetty. |
2.0 | Sormunen Satu-Katri | 06.08.2020 | Tietoja päivitetty. |
2.1 | Rantapere Joona | 28.03.2022 | Tietoja päivitetty. | 2.1 | Sormunen Satu-Katri | 12.03.2024 | Tietoja päivitetty. |
1. Käyttäjätietokannan ja perusrekistereiden kytkentä
1.1. Opiskelijarekisteri
Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajan tasalla.
Miten käyttäjätietokanta on kytketty opiskelijarekisteriin?
Opiskelijarekisteri on Pepin perusrekisteri, jonne tallennettujen tietojen perusteella opiskelijoiden käyttäjätunnuksia luodaan ja päivitetään kerran päivässä.
1.1.1. Uusi opiskelija
Miten uuden opiskelijan tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?
Koska uusi opiskelija saa käyttäjätunnuksen/opiskelijaroolin?
Uusi opiskelija saa opiskelijaroolin otettuaan opiskelupaikan vastaan ja käyttäjätunnuksen ilmoittauduttuaan läsnä olevaksi.
Mitä tunnukselle tapahtuu, jos uusi opiskelija ei ota opiskelupaikkaa vastaan tai ottaa paikan vastaan, mutta ilmoittautuu poissaolevaksi?
Tunnusta ei luoda, mikäli opiskelupaikkaa ei oteta vastaan. Poissaolevaksi ilmoittautuvan uuden opiskelijan tunnusta ei luoda. Tunnukset luodaan, jos opiskelija on läsnä opintojen alettua. Tunnuksiin ei tehdä muutoksia, jos opiskelija ilmoittautuu poissaolevaksi kesken opiskelun.
1.1.2. Opiskelijan tiedoissa tapahtuu muutos
Miten opiskelijan muuttuneet tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?
Opiskelijarekisteriin tehdyt muutokset päivittyvät automaattisesti seuraavana yönä.
1.1.3. Opiskelija lakkaa olemasta opiskelija
Milloin organisaatio (esim. opintoasiainhallinto) katsoo, että opiskelija lakkaa olemasta opiskelija
a) sen jälkeen, kun opiskelija valmistuu?
Opiskelijastatus poistuu valmistumispäivänä eli heti, kun opintotoimisto merkitsee opiskelijan valmistuneeksi.
b) sen jälkeen, kun lukukausi vaihtuu, ja opiskelija ei ole ilmoittautunut läsnä olevaksi?
Opiskelijastatus poistuu, kun opiskelija ei ilmoittaudu ilmoittautumisaikana läsnä- tai poissa olevaksi.
c) sen jälkeen, kun opiskelija ilmoittaa keskeyttävänsä opinnot?
Tieto keskeyttämisestä merkitään opiskelijarekisteriin sinä päivänä, kun opiskelija ilmoittaa keskeyttävänsä opinnot.
Kuinka kauan yllä olevien tapahtumien jälkeen kestää, että organisaatio (esim. tietohallinto) sulkee opiskelijan käyttäjätunnuksen tai poistaa opiskelijaroolin?
Opiskelijan tunnus lukitaan 31 päivää sen jälkeen, kun opiskelija merkitään opiskelijarekisteriin eronneeksi, valmistuneeksi tai kun opiskelu on päättynyt. Tunnus poistetaan 24 kk kuluttua.
1.2. Henkilökuntarekisteri
Henkilörekisteri on HR-järjestelmän relaatiotietokanta.
Henkilökunnan käyttäjätunnuksia ylläpidetään automaattisesti HR-järjestelmän tietojen perusteella tai käsin niiden tietojen osalta, joita ei HR-järjestelmästä saada. Tunnusten ylläpidossa noudatetaan toimintaprosessia, jonka toimintakuvaus on nähtävissä Turun AMK:n intranetissä.
1.2.1. Uusi työntekijä
Uuden henkilön tiedot päivitetään HR-järjestelmän tai tietojärjestelmien käyttölupahakemuksesta saatujen tietojen perusteella. Kaavakkeella anotaan käyttölupaa, ja sen allekirjoittavat sekä työntekijä että esimies. Käyttäjätunnuksen saa käyttöön vahvaa sähköistä tunnistautumista vastaan, tai tietohallinto luovuttaa käyttäjätunnuksen työntekijälle.
1.2.2. Työntekijän tiedoissa tapahtuu muutos
Työntekijän, jolla on voimassa oleva työsuhde, tiedot päivitetään HR-järjestelmän tietojen tai tietojärjestelmien käyttölupahakemuksen perusteella.
1.2.3. Työntekijä lakkaa olemasta työntekijä
Käyttäjätunnus suljetaan seuraavana päivänä työsuhteen päättymisestä. Tiedot saadaan automaattisesti HR-järjestelmästä, tai esimies ilmoittaa päättyvästä työsuhteesta tietohallintoon ennen työvelvoitteen päättymistä.
1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus
Onko organisaatiossa vielä muita käyttäjiä, joilla on käyttäjätunnus ja jotka voivat kirjautua Identity Provider -palvelimen kautta Haka-verkoston palveluihin (esim. Suomen Akatemian tutkijat, ravintolahenkilökunta, siviilipalvelusmiehet, dosentit, alumnit, emeritukset ja kirjaston asiakkaat)? Minkälainen haku- ja hyväksymismenettely näihin tunnuksiin liittyy?
Miten heidän käyttäjätietojensa ajantasaisuus ja sulkeutuminen sekä roolitiedon päivittyminen on varmistettu?
Käyttäjät, jotka eivät ole luonnollisia henkilöitä (esim. ainejärjestöt), eivät ole myöskään Haka-verkoston loppukäyttäjiä. Heidän kirjautumistaan Identity Provider -palvelimen kautta palveluihin ei sallita.
Muiden kuin AMK:n työntekijöiden ja opiskelijoiden käyttäjätunnuksissa noudatetaan samaa prosessia, kuin henkilökunnan käyttäjätunnusten ylläpidossa. Tunnukset ovat määräaikaisia.
2. Henkilöllisyyden todentaminen
2.1. Käyttäjätunnuksen antamisen yhteydessä
Millä tavalla uuden käyttäjän henkilöllisyys todennetaan, kun hänelle annetaan käyttäjätunnus?
Opiskelija saa käyttäjätunnustiedot ID-palvelusta Suomi.fi-tunnistautumista käyttämällä, opintotoimistosta tai opettajatutorilta. Opiskelijan henkilöllisyys tarkistetaan ennen tietojen luovuttamista.
Työntekijä saa käyttäjätunnustiedot tietohallinnosta. Työntekijän henkilöllisyys tarkistetaan tunnuksen luovutuksen yhteydessä aina, jos henkilö ei ole ennestään tuttu.
Henkilöllisyyden todistamiseen käy henkilökortti, ajokortti, passi tai kuvallinen Kela-kortti.
2.2. Kun käyttäjä kirjautuu käyttäjätunnuksellaan
Mitkä ovat salasanatodennukseen liittyvät laatuvaatimukset? Onko käytettävissä salasanaa vahvempia autentikointimenetelmiä?
Salasanan on oltava vähintään 12 merkkiä pitkä. Järjestelmään on asetettu ehtoja salasanan muodolle. Seuraavista ehdoista tulee täyttyä kolme: isot kirjaimet, pienet kirjaimet, erikoismerkki tai numero. Järjestelmä ei salli salasanan olevan liian samankaltainen käyttäjän nimen, vanhan salasanan tai käyttäjätunnuksen kanssa. Järjestelmä pakottaa vaihtamaan salasanan määräajoin. Käytössä ei ole muita autentikointimenetelmiä.
3. Käyttäjätietokannasta saatavilla olevat tiedot
Lisätietoja funetEduPerson-skeemasta (saatavilla olevat käyttäjätiedot) CSC:n sivuilla.
Oheisesta taulukosta löytyvät saatavilla olevat attribuutit.
Kohdassa "Saatavuus" on rasti, jos kyseinen henkilötieto on ajan tasalla ja siten saatavilla Identity Provider -palvelimen kautta.
Opiskelijoiden käyttäjätunnusten ajantasaisuus turvataan päivittäisillä eräajoilla opiskelijarekisteristä.
Henkilökunnan käyttäjätunnusten tietojen päivittäminen perustuu toimintaprosessiin.
Attribuutti | Saatavuus | Muuta (esim. tulkintoja) |
---|---|---|
cn / commonName | x | MUST |
description | ||
displayName | x | MUST |
eduPersonAffiliation | x | staff, student, affiliate |
eduPersonAssurance | x | MUST |
eduPersonEntitlement | x | |
eduPersonNickName | ||
eduPersonOrgDN | ||
eduPersonOrgUnitDN | ||
eduPersonPrimaryAffiliation | x | staff, student, affiliate |
eduPersonPrimaryOrgUnitDN | ||
eduPersonPrincipalName | x | MUST |
eduPersonScopedAffiliation | x | staff/student/affiliate@turkuamk.fi |
eduPersonTargetedID | x | |
employeeNumber | ||
facsimileTelephoneNumber | ||
funetEduPersonCreditUnits | ||
funetEduPersonGivenNames | x | |
funetEduPersonFullName | x | |
funetEduPersonECTS | ||
funetEduPersonHomeCity | x | |
funetEduPersonLearnerId | x | |
funetEduPersonPrimaryStudyStart | ||
funetEduPersonPrimaryStudyToEnd | ||
funetEduPersonProgram | ||
funetEduPersonSpecialisation | ||
funetEduPersonStudentCategory | x | |
funetEduPersonStudentStatus | x | |
funetEduPersonStudentUnion | Mikä arvo on käytössä? | |
funetEduPersonStudyStart | ||
funetEduPersonStudyToEnd | ||
funetEduPersonTargetDegree | ||
givenName | x | |
homePhone | ||
homePostalAddress | ||
jpegPhoto | ||
l / localityName | ||
labeledURI | ||
x | ||
mobile | ||
nationalIdentificationNumber | x | |
o / organizationName | ||
ou / organizationalUnitName | ||
postalAddress | ||
postalCode | ||
preferredLanguage | x (vain opiskelijat) | fi, en |
schacCountryOfCitizenship | ||
schacCountryOfResidence | ||
schacDateOfBirth | x | |
schacGender | ||
schacHomeOrganization | x | MUST turkuamk.fi |
schacHomeOrganizationType | x | MUST :fi:polytechnic |
schacMotherTongue | ||
schacPersonalUniqueCode | x | |
schacPersonalUniqueID | x | |
schacPlaceOfBirth | ||
schacUserPresenceID | ||
schacUserStatus | ||
seeAlso | ||
sn / surname | x | MUST |
street | ||
telephoneNumber | ||
title | ||
uid | ||
userCertificate |
4. Muuta
4.1. Kardinaliteetit
Miten roolit vaikuttavat käyttäjätunnusten määrään (yksi henkilöllisyys per tosielämän käyttäjä vai
yksi henkilöllisyys per rooli)? Onko esim. opiskelija-työntekijällä kaksi käyttäjätunnusta?
Henkilöllä on yksi tunnus per rooli. Opiskelija-työntekijällä on siten kaksi tunnusta.
4.2. EduPersonPrincipalNamen revokointi ja kierrätys
Voiko eduPersonPrincipalName vaihtua?
EPPN ei vaihdu.
Millä tavalla organisaatio kierrättää vapautuneita eduPersonPrincipalName-arvoja?
EPPN-arvoa ei kierrätetä.